Firefox 重新定向鼠标焦点权限许可和访问控制漏洞-一一网

漏洞信息详情

Firefox 重新定向鼠标焦点权限许可和访问控制漏洞

CNNVD编号：CNNVD-200606-171

危害等级：中危
CVE编号：
CVE-2006-2894
漏洞类型：

输入验证
发布时间：

2006-06-07
威胁类型：

远程
更新时间：

2006-08-28
厂商：

netscape
漏洞来源：
Michal Zalewski lc…

漏洞简介

Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。

Firefox在处理onKeyDown/onKeyPress事件时存在漏洞，恶意网页可能利用此漏洞获取用户系统上的特定文件。

Firefox没有正确地处理onKeyDown/onKeyPress事件，允许在用户不知情的情况下移动上述两个事件之间的鼠标焦点。如果攻击者知道了到文件的完整路径名且能够诱骗用户键入超长内容的话，就可以暗中将鼠标焦点重新定向到其他受保护的文件上传表单字段，将任意文件上传到攻击者所选择的站点。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/

参考网址

来源: FEDORA

名称: FEDORA-2007-2664

链接:https://www.redhat.com/archives/fedora-package-announce/2007-October/msg00355.html

来源: issues.rpath.com

链接:https://issues.rpath.com/browse/RPL-1858

来源: MISC

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=56236

来源: bugzilla.mozilla.org

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=370092

来源: MISC

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=290478

来源: UBUNTU

名称: USN-535-1

链接:http://www.ubuntulinux.org/support/documentation/usn/usn-535-1

来源: UBUNTU

名称: USN-536-1

链接:http://www.ubuntu.com/usn/usn-536-1

来源: MISC

链接:http://www.thanhngan.org/fflinuxversion.html

来源: BID

名称: 18308

链接:http://www.securityfocus.com/bid/18308

来源: BUGTRAQ

名称: 20071029 rPSA-2007-0225-2 firefox thunderbird

链接:http://www.securityfocus.com/archive/1/archive/1/482932/100/200/threaded

来源: BUGTRAQ

名称: 20071029 FLEA-2007-0062-1 firefox

链接:http://www.securityfocus.com/archive/1/archive/1/482925/100/0/threaded

来源: BUGTRAQ

名称: 20071026 rPSA-2007-0225-1 firefox

链接:http://www.securityfocus.com/archive/1/archive/1/482876/100/200/threaded

来源: SUSE

名称: SUSE-SA:2007:057

链接:http://www.novell.com/linux/security/advisories/2007_57_mozilla.html

来源: www.mozilla.org

链接:http://www.mozilla.org/security/announce/2007/mfsa2007-32.html

来源: MANDRIVA

名称: MDKSA-2006:145

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:145

来源: MANDRIVA

名称: MDKSA-2006:143

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:143

来源: MANDRIVA

名称: MDKSA-2007:202

链接:http://www.mandriva.com/en/security/advisories?name=MDKSA-2007:202

来源: MISC

链接:http://www.gnucitizen.org/blog/browser-focus-rip

来源: VUPEN

名称: ADV-2007-3544

链接:http://www.frsirt.com/english/advisories/2007/3544

来源: VUPEN

名称: ADV-2006-2164

链接:http://www.frsirt.com/english/advisories/2006/2164

来源: VUPEN

名称: ADV-2006-2163

链接:http://www.frsirt.com/english/advisories/2006/2163

来源: VUPEN

名称: ADV-2006-2162

链接:http://www.frsirt.com/english/advisories/2006/2162

来源: VUPEN

名称: ADV-2006-2160

链接:http://www.frsirt.com/english/advisories/2006/2160

来源: support.novell.com

链接:http://support.novell.com/techcenter/psdb/60eb95b75c76f9fbfcc9a89f99cd8f79.html

来源: SECTRACK

名称: 1018837

链接:http://securitytracker.com/id?1018837

来源: SREASON

名称: 1059

链接:http://securityreason.com/securityalert/1059

来源: SECUNIA

名称: 27414

链接:http://secunia.com/advisories/27414

来源: SECUNIA

名称: 27403

链接:http://secunia.com/advisories/27403

来源: SECUNIA

名称: 27387

链接:http://secunia.com/advisories/27387

来源: SECUNIA

名称: 27383

链接:http://secunia.com/advisories/27383

来源: SECUNIA

名称: 27335

链接:http://secunia.com/advisories/27335

来源: SECUNIA

名称: 27298

链接:http://secunia.com/advisories/27298

来源: SECUNIA

名称: 21532

链接:http://secunia.com/advisories/21532

来源: SECUNIA

名称: 20472

链接:http://secunia.com/advisories/20472

来源: SECUNIA

名称: 20470

链接:http://secunia.com/advisories/20470

来源: SECUNIA

名称: 20467

链接:http://secunia.com/advisories/20467

来源: SECUNIA

名称: 20442

链接:http://secunia.com/advisories/20442

来源: FULLDISC

名称: 20070211 Firefox focus stealing vulnerability (possibly other browsers)

链接:http://lists.virus.org/full-disclosure-0702/msg00225.html

来源: FULLDISC

名称: 20060605 file upload widgets in IE and Firefox have issues

链接:http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/046610.html

来源: MISC

链接:http://lcamtuf.coredump.cx/focusbug/

来源: MANDRIVA

名称: MDKSA-2006:145

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:145

来源: MANDRIVA

名称: MDKSA-2006:143

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:143

来源: BUGTRAQ

名称: 20070212 Re: [Full-disclosure] Firefox focus stealing vulnerability (possibly other browsers)

链接:http://archives.neohapsis.com/archives/bugtraq/2007-02/0187.html

来源: BUGTRAQ

名称: 20070211 Firefox focus stealing vulnerability (possibly other browsers)

链接:http://archives.neohapsis.com/archives/bugtra

受影响实体

Netscape Navigator:8.1

更多>>

文章版权归作者所有，未经允许请勿转载。

THE END

信息安全

Piwigo 跨站脚本漏洞

中国农业银行送30京东e卡

如何在龙芯架构和国产化操作系统平台上运行javacv

PHP str_replace()函数整数溢出漏洞

iOS-底层原理36：内存优化（一）野指针探测

BEA Plumtree Foundation及AquaLogic Interaction信息泄露漏洞

Firefox 重新定向鼠标焦点权限许可和访问控制漏洞

漏洞信息详情

Firefox 重新定向鼠标焦点权限许可和访问控制漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

Piwigo 跨站脚本漏洞

中国农业银行送30京东e卡

如何在龙芯架构和国产化操作系统平台上运行javacv

PHP str_replace()函数整数溢出漏洞

iOS-底层原理36：内存优化（一） 野指针探测

BEA Plumtree Foundation及AquaLogic Interaction信息泄露漏洞

Firefox 重新定向鼠标焦点 权限许可和访问控制漏洞

漏洞信息详情

Firefox 重新定向鼠标焦点 权限许可和访问控制漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

iOS-底层原理36：内存优化（一）野指针探测

Firefox 重新定向鼠标焦点权限许可和访问控制漏洞

Firefox 重新定向鼠标焦点权限许可和访问控制漏洞